NIST 사이버보안 프레임워크의 보안관제 적용
1. NIST Cybersecurity Framework(CSF)
미국 국립표준기술연구소(NIST)에서 개발한 사이버보안 프레임워크(CSF)
조직이 사이버보안 위협 관리하는데 필요한 표준, 지침, 모범 사례 제공
🔗 참고 | 보안관제 관련 프레임워크 부분
https://velog.io/@heoy01/SK%EC%89%B4%EB%8D%94%EC%8A%A4-%EB%A3%A8%ED%82%A4%EC%A6%88-24%EA%B8%B0-AI-%EB%B3%B4%EC%95%88%EA%B4%80%EC%A0%9C-%EB%B0%8F-%ED%86%B5%ED%95%A9%EB%A1%9C%EA%B7%B8-%EB%B6%84%EC%84%9D2
- 버전 1.x -> Identify, Protect, Detect, Respond, Recover 기능 제공
- 버전 2.x -> +Govern 6개 핵심 기능으로 구성 -> 조직 전체에 적용 가능
=> 보안관제 전체 프로세스 구조화에 활용 가능
1) 등장 배경
- 美 버락 오바마 대통령의 행정명령 13636에 따라 미국 국립표준기술연구소(NIST)에 프레임워크 개발 지시
- 프레임워크 -> 자발적 합의 표준, 방법론, 절차 및 과정의 집합으로 구성
- 접근 방식: 주요 기반시설 조직이 사이버보안 위협에 대응하는 방식에 유연성을
제공 + 사이버보안 위험 완화 가능 - 개발한 프레임워크를 자발적으로 채택 (강제 X, 권고임)
- 프레임워크가 조직 특성에 따라 제대로 동작하지 않을수도 있기 때문
2) NIST CSF의 발전
- CSF 1.0 (2014.02): 위험관리 기본 틀을 마련하는 최초의 버전
- 주요 기반시설 조직이 기존의 표준, 지침, 관행에 기반 -> 사이버보안 위험을 식별, 평가, 관리할 수 있는 기초 제공
- 5가지 기능: Identify, Protect, Detect, Respond, Recover
- CSF 1.1 (2018.04): 사이버보안 관행의 변화 + CSF 1.0 피드백 반영하여 개선함
- 다양한 보안운영 조직 및 보안관제서비스 조직에서 채택
- 5가지 기능: Identify, Protect, Detect, Respond, Recover
=> 보안관제를 포함한 보안운영 조직 및 서비스 조직에 적합한 형태
- CSF 2.0 (2024.02): 모든 조직이 사이버보안 위험을 효과적으로 관리하고 완화하도록 구성됨
- 다양한 조직을 대상 -> 보안운영 조직 뿐만 아닌 소기업과 비영리 조직 등도 포함
- 거버넌스와 공급망 보안에 중점
- 보안운영 조직을 구비할 수 없는 조직도 활용 가능
- 6가지 기능: Identify, Protect, Detect, Respond, Recover, Govern
2. NIST CSF 1.1의 구성
1) 코어(Core)
특정 사이버보안 결과를 달성하기 위해 일련의 활동을 제공 -> 결과 달성을 위한 지침 예시를 참조하는 방식
- 기능(Functions): 가장 높은 수준에서 기본적인 사이버보안 활동을 조직
- 조직이 사이버보안 위험관리를 표현하는데 도움
- 범주(Categories): 기능을 프로그램 요구, 특정 활동과 밀접한 사이버보안 결과 그룹으로 세분화
- 하위 범주(Subcategories): 범주를 기술적 및 관리 활동의 구체적인 결과로 더 세분화
- 참조 정보(Informative References): 각 하위 범주와 관련된 목표를 달성하기 위한 방법을 설명하는 공통 표준, 지침 및 관행의 구체적인 섹션들
2) 구현 단계(Implementation Tiers)
조직에서 사이버보안 위험을 인식하는 방식과 이를 관리하기 위한 프로세스의 구성에 대한 맥락 제공
단계: 단계1(불완전) -> 단계2(위험 인식) -> 단계3(재현 가능) -> 단계4(적합)
- 각 단계는 위험관리 수행의 엄밀함, 정교함 증가 정도
- 단계 선택
- 선택된 단계가 조직 목표에 부합하는가?
- 선택 목표의 구현이 가능한가?
- 선택 목표가 조직이 수용 가능한 수준에서 중요 자산, 자원에 대한 사이버보안 위험을 감소시키는가?
- 기본 고려사항: 현재 위험관리 수행 수준, 법/규제적 요구사항, 업무 목표, 조직적 제약사항, 위협 환경, 정보공유 관행, 공급망 사이버보안 요구사항 등
- 기타 참고사항: 연방정부 부처 및 기관, 정보공유/분석센터(ISACs), 정보공유/분석조직(ISAOs), 기존 성숙도 모델 또는 기타 외부 지침 등
=> 단계는 조직적 의사결정을 지원하기 위한 것
- 프레임워크의 성공적인 구현: 조직의 목표 프로파일에 기술된 결과를 달성하는데 기반을 둠
각 단계 설명
- 단계1(불완전)
- 위험관리 프로세스: 위험관리 수행 능력이 정형화 X, 위험은 임시적이고 수동적인 방식으로 관리
- 통합된 위험관리 프로그램: 조직 수준에서 사이버보안 위험에 대한 인식이 제한적
- 얻은 정보에 따라 비정기적이고 사례별로 사이버보안 위험관리를 수행
- 외부 참여: 조직은 의존성, 의존 대상과 관련하여 더 큰 환경 내에서 자신의 역할을 이해 X
- 다른 이해관계자들과 협력 X, 정보 제공받거나 공유 X
- 단계2(위험 인식)
- 위험관리 프로세스: 위험관리 수행은 관리진에 의해 승인, 조직 전체의 정책으로 확립 X
- 통합된 위험관리 프로그램: 조직 수준에서 사이버보안 위험에 대한 인식 O, 조직 전체의 사이버보안 위험관리 접근 방식은 미확립
- 사이버보안 정보는 비공식적으로 조직 내에서 공유
- 외부 참여: 조직은 의존성 or 의존 대상과 관련하여 더 큰 환경 내에서 자신의 역할을 이해 O, 대신 둘 중 하나만 이해함
- 다른 이해관계자들과 협력하며 일부 정보를 받고 자체적으로 일부 정보를 생성 -> 다른 이들과 정보를 공유하지 않을 수 있음
- 단계3(재현 가능)
- 위험관리 프로세스: 위험관리 업무가 공식적으로 승인되어 정책으로 표현
- 통합된 위험관리 프로그램: 전반적인 사이버보안 위험을 관리하기 위한 조직 보유
- 위험에 기반한 정책, 프로세스 및 절차는 정의되어 의도대로 구현되고 검토
- 위험의 변화에 효과적으로 대응하기 위한 일관된 방법 마련
- 직원 -> 자신의 역할과 책임을 수행하는데 필요한 지식과 기술 보유
- 조직 -> 조직 자산의 사이버보안 위험을 정확하게 모니터링
- 고위 경영진 -> 조직의 모든 운영 라인에서 사이버보안 고려
- 외부 참여: 더 큰 환경에서 역할, 의존성 및 의존 대상을 이해 O, 커뮤니티의 위험 이해도를 높이는데 기여
- 다른 이해관계자들과 정기적으로 협력
- 단계4(적합)
- 위험관리 프로세스: 과거-현재의 사이버보안 활동을 바탕으로 사이버보안 업무를 조정, 학습한 내용과 예측 지표 포함
- 통합된 위험관리 프로그램: 조직 전체의 사이버보안 위험관리 접근 방식 O, 잠재적 사이버보안 이벤트를 위해 위험에 기반한 정책, 프로세스 및 절차 사용
- 고위 경영진 -> 사이버보안 위험을 재무 위험, 기타 조직적 위험과 동일한 맥락에서 모니터링
- 비즈니스 부문 -> 경영진의 비전을 구현하고 조직의 위험 허용도 맥락에서 시스템 수준의 위험을 분석
- 조직 -> 비즈니스/임무 목표의 변화에 따라 위험 접근 방식과 소통 방식을 조정
- 외부 참여: 더 큰 환경에서 역할, 의존성 및 의존 대상을 이해 O, 커뮤니티의 위험 이해도를 높이는데 기여
- 자신의 위험에 대한 지속적인 분석을 통해 우선 순위가 높은 정보를 수신, 생성 및 검토 -> 그 정보를 내/외부 협력자들과 공유
=> 성숙도 수준을 나타내는 건 X, 조직의 의사결정을 지원하기 위해 단계 선택
3) 프로파일(Profile)
조직의 업무 요구사항에 맞춰 위험 허용도, 자원, 기능, 범주 및 하위 범주를 정렬하는 것
- 업무/임무 요구사항을 지원, 조직 내부 및 조직 간 위험 소통에 도움
- 프로파일을 통해 조직은 목표에 맞춰 법적/규제 요구사항과 업계 최선의 관행을 반영
사이버보안 위험 감소를 위한 우선순위 기반 로드맵을 설정
- 특정 사이버보안 활동의 현재 or 원하는 목표 상태 기술에 사용
- 현재 프로파일: 달성 중인 사이버보안 결과
- 목표 프로파일: 원하는 사이버보안 위험관리 목표를 달성하기 위해 필요한 결과
MITRE ATT&CK
공격자들의 공격 기법, 절차(TTP)를 기반으로 공격자의 의도와 행동을 예측하는데 필요한 실질적인 지식 기반을 제공하는 프레임워크
- 표 정보(Matrices): 공격자의 행위를 직관적인 표 형태의 구조(Matrix)로 제공
- 공격 기술 Tactic, Technique의 개념, 관계를 시각화
- Tactic에는 Technique가 포함
- 각 Tactic는 공격 목표에 따라 다양하게 활용됨
- 기업(Enterprise), 모바일(Mobile), 산업제어시스템(ICS) 버전으로 제공
- 공격 기술 Tactic, Technique의 개념, 관계를 시각화
- 전술 정보(Tactics): 공격자의 공격 목표에 따른 행동
- 상황에 따라 각각의 기술에 대한 범주 역할
- 공격 목적에 따라 지속성, 정보탐색, 실행, 파일 추출 등으로 분류
- 기술 정보(Techniques): 공격자가 목표에 대한 전술을 달성하기 위한 방법
- 공격자의 공격(Technique)을 통해 발생하는 결과(피해)를 명시
- 완화 정보(Mitigations): 방어자가 공격을 예방 및 탐지하기 위해 할 수 있는 행동(Techniques)
- 이전의 유사한 사례에서 대응책 정보를 활용 -> 새로 탐지된 공격에 대한 해결방안 제시 가능
- 보안의 목적과 시스템 상황에 따라 중복 적용 가능
- 공격 단체/조직 정보(Groups): 공개적으로 명칭이 부여된 해킹단체에 대한 정보와 공격 기법을 분석하여 정리
- 주로 사용된 공격 방법과 활동 분석, 공식 문서 등을 바탕 -> 해킹조직을 특정
- 공격에 사용된 기술과 소프트웨어 목록을 포함
- 공격 도구 정보(Software): 목표 대상을 공격할 때 사용된 공격코드, 운영체제에 포함된 기본 도구, 공개적으로 사용 가능한 도구(Open-Source) 등을 목록화하여 정리
- 공격에 사용되는 다양한 도구의 모음을 총칭하여 정리
- 같은 도구일지라도 여러가지 다른 이름을 가짐 -> 해킹 조직마다 다른 이름으로 사용될 수 있으므로
MITRE ATT&CK Matrix
1) 기업용(Enterprise)
범용적인 기업환경에 적용되는 네트워크, 운영체제, 플랫폼에 대하여 시스템 침해 행위를 세부적으로 모델링하기 위해 개발
- 기존 사이버 킬체인을 단계적으로 재구성
- 공격자의 TTP, 네트워크 공격 활동 특징 기반으로 작성
- 네트워크 침입 방어(CND) 기술과 프로세스 및 정책 등을 종합적 평가 가능
2) 산업제어시스템용(ICS)
관련 네트워크 및 산업 생산 영역에서 설비 운영 제어/관리하는 시스템을 대상으로 한 공격 유형과 과정 등의 정보 포함
- 논문, 정보기관에서 발표한 보안 사고를 바탕 -> 산업제어시스템의 Tactics와 Techniques를 재정의하여 정형화
- 퍼듀 모델(Purdue Model) 기반 -> 운영기술(OT)의 영역을 Level 0-2로 구분, 각각의 Level에 맞는 시스템으로 자산 분류
- 이기종 장치, 네트워크, 제어시스템, 센서, 유닛 중점의 위협 정보로 구성
- 시스템의 특성상 발생 가능한 재산적/인적 피해가 고려되었으며 가용성 측면을 중점
- 기업용(Enterprise)과 비교
- 산업제어시스템 환경에 맞는 시스템 제어와 관련된 단계 추가
- 데이터 유출, 권한, 인증에 대한 Tactics 축소
- 장치에 직접적인 운영/제어와 관련된 공격, 실시간 데이터/메시지 전송/가동 중단/파괴가 목적인 Techniques 포함
| 이름 | 설명 |
|---|---|
| 수집(Collection) | 목표 대상의 데이터 및 시스템에 대한 정보를 수집하기 위한 전술 |
| 명령 및 제어(Command and Control) | ICS 환경에 침입하여 장악한 시스템, 컨트롤러 및 플랫폼에 대해 통신과 제어하려는 전술 |
| 탐색(Discovery) | ICS의 원격 시스템에 접근한 후 이를 제어하기 위해 사용되는 전술 |
| 회피(Evasion) | 공격자가 침입한 시간동안 탐지 당하는 것을 피하기 위해 사용되는 전술 |
| 실행(Execution) | 악성코드나 프로그램을 임의로 실행 |
| 임팩트(Impact) | ICS에 대해 데이터 조작, 시스템 중단 및 파괴하려는 전술 |
| 제어권 손상(Impair Process Control) | 물리적 제어 절차를 비활성화하거나 손상하려는 전술 |
| 응답 거절(Inhibit Response Function) | 안전과 관련된 기능에 대해 응답하지 못하도록 하는 전술 |
| 초기 접근(Initial Access) | ICS 환경에 접근하기 위한 전술 |
| 내부 확산(Lateral Movement) | ICS의 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술 |
| 지속(Persistence) | 침입한 ICS네트워크 환경에 대해 저속적으로 접속 유지를 위한 전술 |
| 권한 상승(Privilege Escalation) | ICS 환경에 침입하여 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술 |
MITRE D3FEND
사이버 방어 기술과 전략에 초점을 둔 프레임워크
- 사이버 방어 조치와 기술의 선택/구현/관리에 필요한 상세한 설명과 지침을 제공
1. MITRE D3FEND의 이해
1) MITRE ATT&CK과 D3FEND와의 관계
- ATT&CK -> 프레임워크에서 적대적 전술, 기술, 절차(TTP)를 매핑
- D3FEND -> 특정 적대적 행동에 대해 방어하는 방법에 대한 지침을 제공
=> 보완 관계
2) MITRE D3FEND의 필요성
- ATT&CK 매트릭스의 중요한 대응물
- ATT&CK 매트릭스에 설명된 알려진 공격 방법에 대한 방어 조치를 정렬 -> 조직이 잠재적인 보안 취약성을 정확히 파악하도록 지원
2. MITRE D3FEND Matrix
1) 전술(Tactics)
| 이름 | 설명 |
|---|---|
| 강화(Harden) | 공격 표면을 감소시키면서 응용프로그램, 자격증명, 메시지, 플랫폼 강화 |
| 취약점 감소를 위한 패치와 업데이트 강조 | |
| 탐지(Detect) | 파일, 식별자, 메시지, 네트워크 트래픽, 플랫폼, 프로세스, 사용자 행동 분석 포함 |
| 잠재적 위협으로부터 방어하기 위해 보안관제시스템(SIEM) 활용 | |
| 격리(Isolate) | 침해되었거나 취약한 호스트를 분리하는데 중점 |
| IP 및 DNS 필터링을 통해 지속적인 트래픽 모니터링 통합 | |
| 기만(Deceive) | 주변 환경이나 특정 객체에 대해 유인하는 기술 사용 |
| 사이버 공격자의 움직임을 실제 환경에서 허니넷/허니팟 등 미끼 환경으로 전환 | |
| 퇴거(Evict) | 자격증명과 프로세스 추방에 집중 |
| 취약하거나 손상된 구성요소를 종료하여 방어력 강화 |
2) 디지털 아티팩트(Digital Artifact)
- 침해시도/사고 이후 남겨진 증거나 흔적을 의미
3) 디지털 아티팩트 온톨로지(Digital Artifact Ontology)
- 공격 모델(ATT&CK)-방어 모델(D3FEND) 간 관계를 구성/매핑하는 방법을 체계적으로 정리한 문서나 기준을 의미
열심히 살아보아요